作为关键的WordPress漏洞已被修补。该补丁应用于WordPress版本5.7.2。选择入器的网站应该在没有发布者的任何其他操作的情况下接收此更新。鼓励出版商检查他们使用的WordPress版本以确保它们被更新为5.7.2版本。
对象注射漏洞
影响WordPress的漏洞称为对象注射漏洞。具体地,它是PHPMailer漏洞中的对象注射。
根据
OWASP.ORG安全网站,这是PHP对象注射漏洞的定义:“PHP对象注射是一种可以允许A的应用程序级漏洞TTAcker执行不同种类的恶意攻击,如代码注入,SQL注入,路径遍历和应用程序拒绝服务,具体取决于上下文。
当用户提供的输入未正确消毒时,漏洞发生传递给未定额()PHP函数。范围。“
WordPress漏洞的广告传票差异评级为关键
漏洞在近最高额定水平的危险程度附近。在使用常见漏洞评分系统(CVSS)的范围内为1到10的等级,此漏洞被评为9.8。
Patchstack安全网站发布了美国官方政府漏洞评级。
WordPress漏洞评级额定关键
WordPress漏洞是评分为9.8的1 – 10。
根据
拼接安全部位
公开了该漏洞的细节:
“详细信息在WordPress中发现的PHPMailer漏洞中的对象注入(影响3.7和5.7之间的WordPress版本的一个安全问题)。解决方案 更新WordPress到最新可用版本(至少5.7.2)。自3.7以来的所有WordPress版本也已更新以修复以下安全问题。“
官方WordPress ANWordPress 5.7.2所说的排序:
“安全更新
一个安全问题会影响3.7和5.7之间的WordPress版本。
如果您还没有更新至5.7,自3.7以来的所有WordPress版本也已更新以修复以下安全问题:
对象注射在PHPMailer中“
官方美国政府国家漏洞数据库网站宣布宣布漏洞指出,此问题发生了,因为先前漏洞的修复创建了一个新的漏洞。
美国政府
国家漏洞数据库
描述了这样的漏洞:
“PHPMailer 6.1.8至6.4.0允许通过使用UNC路径名的addActachment通过Phar Deserialization进行对象注入。 没有TE:这类似于CVE-2018-19296,而是因为6.1.8固定了一个功能问题,其中UNC路径始终被PHPMailer被认为是不可读的,即使在安全的上下文中也是如此。作为一种意外的副作用,此修复消除了阻止addActachment漏洞的代码。 立即更新WordPress 使用WordPress的发布者应考虑检查他们的WordPress安装是否最新。 WordPress的最新版本是5.7.2版本。广告联系读数下面,因为漏洞额定是至关重要的,这可能意味着不更新WordPress到5.7.2版的后果可能会留下一个sITE容易受到黑客事件的影响。引文 5.7.2的Wordpress公告